RFI/LFI Açıkları ve Korunma Yolları (Shell)

Bu açıklar daha çok acemi php kodlayıcılarının değişken tanımlamada yaptıkları hatalardan kaynaklanmaktadır...

Remote File İnclude: Uzaktan Dosya Dahil Etme anlamına gelmektedir.
Local File İnclude: ise Aynı serverdan dosya dahil etme anlamına gelmektedir...

Öncelikli olarak bu açıkları kullanabilmemiz için bilmemiz gereken tanımlar var ...

INCLUDE / INCLUDE_ONCE : Bu kodla uzaktan dosya dahil edilir.Uzun satırlar alan kodlar bu komutla başka sayfada kodlanmış olarak gösterilerek tek satıra indirgenir...

REQUIRE / REQUIRE_ONCE : Bu kod da aynı include kodunun yaptığı işi yapar,fakat include ile kodlanmış bi sayfada çağrılan(dahil edilen) dosya bulunamazsa php yorumlayıcımız bu kodun olduğu satırı hata mesajı göndererek atlar ve sayfanın diğer kalan kodlarını yorumlamaya devam eder fakat include komutundan sonra require komutu da kullanılmışsa; çağırılan dosya bulunamadığı taktirde bir hata verir ve yorumlamayı durdurur. require in include den farkı budur. Yine de RFI/LFI açığı bulurken require ile include aynı derecede işimize yarar(ilerde görücez).

VARIABLE : Değişken anlamına gelmektedir.Bizim açığımız da bu kodlamadan kaynaklanmaktadır. Yani örneğin ; include ile bi dosya, sayfaya dahil edilirken komutun içinde değişkenler de bulunur (örnek bi değişken : $external). Bu değişken aynı sayfada define edilmezse yani tanımlanmazsa burda bu açık kullanılabilir...


Remote File İnclude (RFI)

Uzaktan dosya dahil etme anlama gelen RFI da tanımlanmamış değişkenler tanımlanır ve açık varsa istenilen değere atanır... örneğin ; shell(c99,r57 vs... ).



Kod:
<?php
include ($external. '../function.php') ;
?>

Vermiş olduğum bu kodu x.php olarak kaydedip php destekleyen bi hosta atın ve çalıştırın.Bu sayfayı çalıştıdığınızda bi hata alıcaksınız.Bu hata dahil ettiğimiz function.php dosyasının bulunamamasından kaynaklanmaktadır,bu bizi ilgilendirmiyor.



Kod:


Açık yukarıdaki gibi kullanılabilir.Engellemek için :



Kod:
<?php
$external= 'data';
include ($external. '../function.php');
?>

Vermiş olduğum bu kodu da x2.php olarak kaydedip hostunuza atın ve yine bu sayfayı açtığınız zaman tekrar function.php dosyasının bulunamamasından dolayı bi hata alacaksınız fakat bu yine bizi ilgilendirmiyor.



Kod:


Shell tekrar servera sokulmaya çalışılırsa başarısız olunur.Burda $external veriable ımız tanımlanmıştır.
Bu yüzden biz tanımlanmış bi değişkeni kullanarak tekrar tanımlayarak servera giremeyiz...

Local File İnclude (LFI)

Yeral serverdan dosya dahil etme anlamına gelen bu açık RFI kadar etkili değildir.
Örneğin ;



Kod:
<?php
include ('data/$external/function.php');
?>

Burda aynı RFI açığında gördüğümüz gibi $external veriable ının tanımlanmadığını görmekteyiz.
Fakat bu LFI da shell atarak kullanlamaz.Tanımlanmayan değişken kullanılarak okuma izni olan dosyalar okunabilir.Yukarıdaki kodu x3.php olarak kaydedin ve hosta atın :



Kod:
www.site.com/x3.php?external=../../../asd

Bununla server ın asd dosyası okunabilir.İzin verilen bütün dosyaları okunabilir...Engellemek için:



Kod:
<?php
$external='asdf'
include ('data/$external/function.php');
?>

Bu kodu da x4.php diye kaydedip hosta atın ve aşağıdaki gibi çalıştırın :



Kod:
www.site.com/x4.php?external=../../../asd

Bu sefer LFI açığının çalışmadığı görülecektir.Nedeni ise $external veriable ının tanımlanmasıdır.

Bu saldırıları önlemenin diğer bi yolu ise :

/etc/php.ini dosyasını açarak

disable_function satırının karşısına şunları eklememiz gerekiyor :



Kod:
system,passthru,proc_nice,exec,popen,proc_close,ex ecute,proc_get_sta tus,proc_open,allow_url_fopen,shell,

ve sonra "service htttpd restart" diyoruz...Bu fonksiyonları disable ettiğimiz için serverımızda bazı scriptler çalışmıyacaktır.Tabi korunmak için bazı scriptlerden feragat etmek gerekir

İşte bu açıkların bulunmadığı bi sisteminizin olmasını istiyosanız scriptinizi inceleyerek tanımlanmamış variable'ları tanımlayarak RFI/LFI saldırılarını önleyebilirsiniz.